BIO Thema Huisvesting Informatievoorziening/alle normen alle eigenschappen

Uit NORA Online
Ga naar: navigatie, zoeken


ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.

Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.

Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


In deze tabel staan alle normen uit BIO Thema Toegangsbeveiliging, met het unieke ID, het
trefwoord uit het principe dat het uitwerkt en de daadwerkelijke norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv download en via BIO Thema Toegangsbeveiliging per aspect Beleid, Uitvoering of Control
IDtrefwoordStelling
TVZ_B.01.01toegangbeveiligingbeleidHet toegangvoorzieningsbeleid:
  • is consistent aan de vigerende wet- en regelgeving en informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. beleid;
  • stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.
TVZ_B.01.02bedrijfseisenBij bescherming van toegang tot gegevens wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen.
TVZ_B.01.03bedrijfseisenEr zijn standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen in de organisatie.
TVZ_B.01.04toegangbeveiligingbeleidInformatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie worden uitgevoerd op basis van need-to-know en need-to-use principes.
TVZ_B.01.05informatiebeveiligingseisenAutorisatiebeheer is procesmatig ingericht (zoals aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen).
TVZ_B.02.01eigenaarschapHet eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen (bijvoorbeeld business manager).
TVZ_B.02.02eigenaarschapDe eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren ten aanzien van de inrichting van het toegangbeveiligingssysteem.
TVZ_B.02.03verantwoordelijkheden voor logische bedrijfsmiddelenDe eigenaar is verantwoordelijk voor:
  • het beveiligd inrichten van het toegangsbeveiliging systeem;
  • het onderhouden en het evalueren van het toegangbeveiligingssysteem het identificeren van risico’s ten aanzien van toegangsbeveiliging systeem op basis van InformatieBetekenisvolle gegevens. life-cycle;
  • het ondersteunen van beveiliging reviews.
  • TVZ_B.02.04verantwoordelijkheden voor fysieke bedrijfsmiddelenDe eigenaar is verantwoordelijk voor:
  • het inventariseren van bedrijfsmiddelen;
  • het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop op basis van bedrijfsregels en toegangsbeveiliging;
  • het passend classificeren en beschermen van bedrijfsmiddelen;
  • het procesmatig verwijderen van bedrijfsmiddelen.
  • TVZ_B.03.01beveiligingsfunctieDe rollen binnen de beveiligingsfunctie moeten zijn benoemd en de taken en verantwoordelijkheden vastgelegd, zoals: HRM, proceseigenaar, autorisatiebeheerder, CISO en beveiligingsambtenaar (BVA).
    TVZ_B.03.02beveiligingsfunctieDe functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangbeveiligingssysteem.
    TVZ_B.04.01authenticatie-informatieAuthenticatie-informatie wordt beschermd door middel van versleuteling.
    TVZ_B.04.02cryptografische beheersmaatregelenHet cryptografiebeleid stelt eisen ten aanzien van:
  • de verantwoordelijkheid voor de implementatie en sleutelbeheer;
  • het bewaren van geheime authenticatie-informatie tijdens verwerking, transport en opslag;
  • de wijze waarop de normen van het Forum Standaardisatie worden toegepast.
  • TVZ_B.05.01organisatorische positieDe beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie.
    TVZ_B.05.02functionarissenDe belangrijkste functionarissen (stakeholders) voor de beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.
    TVZ_B.05.03taken verantwoordelijkheden en bevoegdhedenDe organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen.
    TVZ_B.05.04taken verantwoordelijkheden en bevoegdhedenDe taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.
    TVZ_B.05.05rapportagelijnenDe verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen zijn vastgesteld.
    TVZ_B.05.06rapportagelijnenDe frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.
    TVZ_B.06.01technische inrichtingDe technische inrichting van de toegangsbeveiliging is op basis van de organisatorische eisen vormgegeven aangaande:
  • de uniformiteit en flexibiliteit van authenticatie-mechanismen;
  • de rechten voor beheeraccounts;
  • de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatie-mechanismen om voldoende sterke wachtwoorden af te dwingen;
  • autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.
  • TVZ_B.06.02toegangbeveiligingsarchitectuurDe inrichting van het identiteits- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur.
    TVZ_C.01.01proceduresDe organisatie beschikt over procedures voor het controleren van toegangbeveiligingssystemen en registraties (log-data).
    TVZ_C.01.02proceduresDe organisatie beschikt over een beschrijving van de relevante controleprocessen.
    TVZ_C.01.03proceduresDe procedures hebben betrekking op controleprocessen die conform een vastgestelde cyclus zijn ingericht, zoals registratie, statusmeting, bewaking (monitoring), analyse, rapportage en evaluatie.
    TVZ_C.01.04proceduresDe procedures schrijven voor dat de resultaten van controleactiviteiten aan het management gerapporteerd moeten worden om de juiste acties te laten initiëren.
    TVZ_C.02.01toegangsrechtenAlle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld.
    TVZ_C.02.02toegangsrechtenToegangsrechten van gebruikers worden na wijzigingen en functieveranderingen beoordeeld.
    TVZ_C.02.03toegangsrechtenAutorisaties voor speciale toegangsrechten worden frequenter beoordeeld.
    TVZ_C.02.04toegangsrechtenDe beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd met de verantwoordelijken/eigenaren van de systemen waarin kwetsbaarheden en zwakheden zijn gevonden.
    TVZ_C.02.05log-bestandenDe opvolging van bevindingen is gedocumenteerd.
    TVZ_C.02.06beoordelenHet beoordelen vind plaats op basis van een formeel proces, zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen.
    TVZ_C.02.07beoordelenEen functionaris is verantwoordelijke voor het controleren van de organisatorische en de technische inrichting van toegangsbeveiliging.
    TVZ_C.03.01log-bestandenEen log-regel bevat de vereiste gegevens (zoals: afleidbaarheid naar natuurlijke persoon, de gebeurtenis, identiteit van het werkstation of de locatie, handelingen, datum en tijdstip).
    TVZ_C.03.02log-bestandenEen logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken (zoals wachtwoorden, inbelnummers enz.).
    TVZ_C.03.03gebruikersactiviteitenDe informatie verwerkende omgeving wordt door detectievoorzieningen bewaakt met behulp van een SIEM en/of SOC, die wordt ingezet op basis van een risico-inschatting en van de aard van de te beschermen gegevens en informatiesystemen zodat aanvallen kunnen worden gedetecteerd.
    TVZ_C.03.04bewaardNieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische kaders gedeeld binnen de overheid door (geautomatiseerde) threat-intelligence-sharing mechanismen.
    TVZ_C.03.05bewaardDe SIEM en/of SOC hebben heldere regels over wanneer een incident aan het verantwoordelijke management moet worden gerapporteerd.
    TVZ_C.03.06bewaardBij het verwerken van persoonsgegevens wordt, conform het gestelde in de AVG, een verwerkingsactiviteitenregister bijgehouden.
    TVZ_C.03.07beoordeeldDe logbestanden worden gedurende een overeengekomen periode bewaard ten behoeve van toekomstig onderzoek en toegangscontrole.
    TVZ_C.04.01processtructuurDe samenhang van de processen wordt door middel van een processtructuur vastgelegd.
    TVZ_C.04.02functionarissenDe belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.
    TVZ_C.04.03taken verantwoordelijkheden en bevoegdhedenDe taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix.
    TVZ_U.01.01formele registratie en afmeldprocedureEr is een sluitende formele registratie- en afmeldprocedure voor alle gebruikers (van eerste registratie tot en met de beëindiging).
    TVZ_U.01.02Formele registratie en afmeldprocedureHet gebruiken van groepsaccounts is niet toegestaan tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar.
    TVZ_U.01.03formele registratie en afmeldprocedureDe aanvraag van autorisaties op het gebruik van informatiesystemen en de toegewezen autorisatieniveaus worden gecontroleerd.
    TVZ_U.01.04toegangsrechtenGebruikers worden op basis van juiste functierollen (en autorisatieprofielen) geautoriseerd voor het gebruik van applicaties (need-to-know en need-to-have principes).
    TVZ_U.01.05toegangsrechtenEen bevoegdhedenmatrix is beschikbaar, op basis waarvan gebruikers slechts die object- en/of systeemprivileges toegekend krijgen, die zij nodig hebben voor de uitoefening van hun taken.
    TVZ_U.02.01gebruikers toegangverleningsprocedureToegang tot informatiesystemen wordt uitsluitend verleend na autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen door een bevoegde functionaris.
    TVZ_U.02.02gebruikers toegangverleningsprocedureOp basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.
    TVZ_U.02.03gebruikers toegangverleningsprocedureEen actueel mandaatregister is aanwezig, waaruit blijkt welke personen bevoegdheden hebben voor het verlenen van toegangsrechten dan wel van functieprofielen.
    TVZ_U.03.01beveiligde inlogprocedureAls vanuit een niet-vertrouwde zone toegang wordt verleend naar een vertrouwde zone, dan gebeurt dit minimaal op basis van 2-factor authenticatie.
    TVZ_U.03.02beveiligde inlogprocedureVoor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt.
    TVZ_U.03.03beveiligde inlogprocedureDe risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een wijzigingsvoorstel (call) blijkt hoe de rechten zijn toegekend.
    TVZ_U.04.01formeel autorisatieprocesEr is een formeel proces voor het aanvragen, verwerken, intrekken (of aanpassen), verwijderen en archiveren van autorisaties.
    TVZ_U.04.02formeel autorisatieprocesHet verwerken van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht van een hiertoe bevoegde functionaris.
    TVZ_U.04.03formeel autorisatieprocesDe activiteiten met betrekking tot het aanvragen, verwerken en afmelden van het autorisatieverzoek (succes/foutmelding) worden vastgelegd en gearchiveerd.
    TVZ_U.04.04toegangsrechtenBij beëindigen van het dienstverband worden de toegangsrechten tot informatie en informatie verwerkende faciliteiten ingetrokken.
    TVZ_U.04.05toegangsrechtenWijzigingen in het dienstverband moeten corresponderen met de verstrekte toegangsrechten tot fysieke en logische middelen.
    TVZ_U.04.06toegangsrechtenToegangsrechten tot informatie en informatie verwerkende bedrijfsmiddelen en faciliteiten wordt ingetrokken voordat het dienstverband eindigt of wijzigt, afhankelijk van risicofactoren.
    TVZ_U.05.01sterke wachtwoordenAls geen gebruik wordt gemaakt van 2-factor authenticatie, dan:
  • is de wachtwoordlengte minimaal 8 posities en complex van samenstelling;
  • vervalt de complexiteitseis vanaf een wachtwoordlengte van 20 posities;
  • is het aantal inlogpogingen maximaal 10;
  • is de tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen vastgelegd.
  • TVZ_U.05.02sterke wachtwoordenIn situaties waar geen 2-factor authenticatie mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd.
    TVZ_U.06.01toewijzenHet toewijzen van speciale toegangsrechten vindt plaats op basis van risico-afweging, richtlijnen en procedures.
    TVZ_U.06.02speciale toegangsrechtenGebruikers hebben toegang tot speciale toegangsrechten voor zover dat voor de uitoefening van hun taak noodzakelijk is (need-to-know en need-to-use).
    TVZ_U.06.03beheerstUitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld.
    TVZ_U.07.01gescheidenOp basis van risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.
    TVZ_U.07.02gescheidenRollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste functiescheidingen.
    TVZ_U.07.03takenEen scheiding is aangebracht tussen beheertaken en overige (gebruiks-)taken.
    TVZ_U.07.04verantwoordelijkhedenVerantwoordelijkheden voor beheer en wijziging van gegevens en bijbehorende informatiesysteemfuncties moeten eenduidig zijn toegewezen aan één specifieke (beheerders)rol.
    TVZ_U.07.05onbedoeldMaatregelen zijn getroffen waarmee onbedoelde en ongeautoriseerde toegang tot bedrijfsmiddelen wordt waargenomen en/of wordt voorkomen.
    TVZ_U.08.01authenticatie-informatieElke gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem wordt geïdentificeerd op basis van een identificatiecode.
    TVZ_U.08.02authenticatie-informatieBij uitgifte van authenticatiemiddelen worden minimaal de identiteit en het feit dat de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem recht heeft op het authenticatiemiddel vastgesteld.
    TVZ_U.08.03beheersprocesEen onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatie-informatie geheim te houden.
    TVZ_U.08.04beheersprocesGeheime authenticatie-informatie is uniek toegekend aan een persoon en voldoet aan een specifieke (niet gemakkelijk te raden) samenstelling van tekens.
    TVZ_U.09.01informatieGebruikers kunnen alleen die informatie inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak.
    TVZ_U.09.02systeemfunctiesBeheer(ders)functies in toepassingen hebben extra bescherming waarmee misbruik van rechten wordt voorkomen.
    TVZ_U.09.03toegangbeveiligingsbeleidHet toegangsbeveiligingsbeleid geeft onder andere aan, dat toegang tot informatie en tot functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden.
    TVZ_U.09.04toegangbeveiligingsbeleidToegangsbeperking is in overeenstemming met het toegangsbeveiligingsbeleid van de organisatie.
    TVZ_U.10.01autorisatievoorzieningenDoor een verantwoordelijke is formeel vastgesteld welke ondersteunende middelen worden ingezet binnen het proces autorisatiebeheer.
    TVZ_U.10.02personeelsregistratiesysteemAlle interne en externe gebruikers worden vóór de toegang tot de applicatie-omgeving opgenomen in het personeelsinformatiesysteem.
    TVZ_U.10.03autorisatiebeheer systeemAlle natuurlijke personen die gebruik maken van applicaties worden geregistreerd.
    TVZ_U.10.04autorisatiefaciliteitenIedere applicatie die valt onder het autorisatiebeheerproces heeft functionaliteit om autorisaties toe te kennen, in te zien en te beheren.
    TVZ_U.11.01beveiligde gebiedenToegang tot beveiligingszones of gebouwen waar zich resources bevinden, is slechts toegankelijk voor personen die hiertoe geautoriseerd zijn.
    TVZ_U.11.02passende toegangsbeveiligingAankomst- en vertrektijden van bezoekers worden geregistreerd.
    TVZ_U.11.03passende toegangsbeveiligingMedewerkers, contractanten en externen dragen zichtbare identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen..
    TVZ_U.11.04passende toegangsbeveiligingAan personeel van externe partijen die ondersteunende diensten verlenen, wordt - voor zover noodzakelijk - alleen beperkte toegang verleend tot beveiligde gebieden of faciliteiten die vertrouwelijke informatie bevatten. Deze toegang moet worden goedgekeurd en bewaakt.